A história clandestina de Turla, o grupo de hackers mais engenhoso da Rússia
Andy Greenberg
Pergunte aos analistas de inteligência de segurança cibernética ocidentais quem é seu grupo "favorito" de hackers patrocinados por Estados estrangeiros - o adversário que eles não podem deixar de admirar relutantemente e estudar obsessivamente - e a maioria não citará nenhum dos inúmeros grupos de hackers que trabalham em nome de China ou Coreia do Norte. Nem o APT41 da China, com sua onda descarada de ataques à cadeia de suprimentos, nem os hackers norte-coreanos Lazarus, que realizam roubos maciços de criptomoedas. A maioria nem mesmo aponta para o notório grupo de hackers Sandworm da Rússia, apesar dos ataques cibernéticos sem precedentes da unidade militar contra redes elétricas ou código auto-replicante destrutivo.
Em vez disso, os conhecedores de invasão de computador tendem a nomear uma equipe muito mais sutil de ciberespiões que, de várias formas, penetrou silenciosamente nas redes do Ocidente por muito mais tempo do que qualquer outro: um grupo conhecido como Turla.
Na semana passada, o Departamento de Justiça dos EUA e o FBI anunciaram o desmantelamento de uma operação de Turla - também conhecida por nomes como Venomous Bear e Waterbug - que infectou computadores em mais de 50 países com um malware conhecido como Snake, que o Agências dos EUA descritas como a "primeira ferramenta de espionagem" da agência de inteligência russa FSB. Ao se infiltrar na rede de máquinas hackeadas de Turla e enviar ao malware um comando para deletar a si mesmo, o governo dos EUA causou um sério revés nas campanhas globais de espionagem de Turla.
Mas em seu anúncio - e em documentos judiciais arquivados para realizar a operação - o FBI e o DOJ foram além e confirmaram oficialmente pela primeira vez a reportagem de um grupo de jornalistas alemães no ano passado, que revelou que Turla trabalha para o Centro 16 do FSB. grupo em Ryazan, nos arredores de Moscou. Também deu a entender a incrível longevidade de Turla como um dos principais equipamentos de espionagem cibernética: uma declaração arquivada pelo FBI afirma que o malware Snake de Turla está em uso há quase 20 anos.
Na verdade, a Turla provavelmente está operando há pelo menos 25 anos, diz Thomas Rid, professor de estudos estratégicos e historiador de segurança cibernética da Universidade Johns Hopkins. Ele aponta evidências de que foi Turla – ou pelo menos uma espécie de proto-Turla que se tornaria o grupo que conhecemos hoje – que realizou a primeira operação de espionagem cibernética por uma agência de inteligência visando os EUA, uma campanha de hacking plurianual conhecida como Labirinto Luar.
Dada essa história, o grupo com certeza estará de volta, diz Rid, mesmo após a última interrupção de seu kit de ferramentas pelo FBI. "Turla é realmente o APT por excelência", diz Rid, usando a abreviação de "ameaça persistente avançada", um termo que a indústria de segurança cibernética usa para grupos de hackers de elite patrocinados pelo estado. "Seu ferramental é muito sofisticado, furtivo e persistente. Um quarto de século fala por si. Realmente, é o adversário número um."
Ao longo de sua história, Turla desapareceu repetidamente nas sombras por anos, apenas para reaparecer dentro de redes bem protegidas, incluindo as do Pentágono dos EUA, empreiteiros de defesa e agências governamentais europeias. Porém, ainda mais do que sua longevidade, é a engenhosidade técnica em constante evolução de Turla - de worms USB a hackers baseados em satélites e ao sequestro da infraestrutura de outros hackers - que a distingue ao longo desses 25 anos, diz Juan Andres Guerrero-Saade, que lidera a inteligência de ameaças pesquisa na empresa de segurança SentinelOne. "Você olha para Turla e há várias fases em que, oh meu Deus, eles fizeram uma coisa incrível, foram pioneiros em outra coisa, tentaram alguma técnica inteligente que ninguém havia feito antes, escalaram e implementaram", diz Guerrero -Saade. "Eles são inovadores e pragmáticos, e isso os torna um grupo APT muito especial para acompanhar."
Brenda Stolyar
Will Knight
Equipe WIRED
Medeia Jordânia
Aqui está uma breve história das duas décadas e meia de espionagem digital de elite de Turla, que remonta ao início da corrida armamentista de espionagem patrocinada pelo estado.
Quando o Pentágono começou a investigar uma série de intrusões nos sistemas do governo dos Estados Unidos como uma operação de espionagem única e extensa, já durava pelo menos dois anos e estava desviando segredos americanos em grande escala. Em 1998, investigadores federais descobriram que um misterioso grupo de hackers estava rondando os computadores em rede da Marinha e da Força Aérea dos EUA, bem como os da NASA, do Departamento de Energia, da Agência de Proteção Ambiental, da Administração Nacional Oceânica e Atmosférica, um punhado de universidades americanas e muitas outras. Uma estimativa compararia a carga total dos hackers a uma pilha de papéis três vezes a altura do Monumento a Washington.